Les e-mails Internet sont conçus pour porter l'adresse IP de l'ordinateur à partir duquel l'e-mail a été envoyé. Cette adresse IP est stockée dans un en-tête de courrier électronique remis au destinataire avec le message. Les en-têtes de courrier électronique peuvent être considérés comme des enveloppes pour le courrier postal. Ils contiennent l’équivalent électronique de l’adressage et du cachet postal qui reflètent l’acheminement du courrier de la source à la destination.
Recherche d'adresses IP dans les en-têtes de courrier électronique
De nombreuses personnes n'ont jamais vu d'en-tête d'e-mail, car les clients de messagerie modernes cachent souvent les en-têtes. Cependant, les en-têtes sont toujours livrés avec le contenu du message. La plupart des clients de messagerie proposent une option permettant d'activer l'affichage de ces en-têtes, le cas échéant.
Les en-têtes de messagerie Internet contiennent plusieurs lignes de texte. Certaines lignes commencent par les mots Reçu de. Après ces mots se trouve une adresse IP, comme dans l'exemple fictif suivant:
Reçu: de teela.mit.edu (65.54.185.39)
par mail1.aol.com avec SMTP; 30 juin 2003 02:27:02 -0000
Ces lignes de texte sont automatiquement insérées par les serveurs de messagerie qui acheminent le message. Si une seule ligne "Received: from" apparaît dans l'en-tête, une personne peut être convaincue qu'il s'agit de l'adresse IP réelle de l'expéditeur.
Comprendre plusieurs lignes "reçues: à partir de"
Toutefois, dans certains cas, plusieurs lignes "Reçu: de" apparaissent dans un en-tête de courrier électronique. Cela se produit lorsque le message passe par plusieurs serveurs de messagerie. Par ailleurs, certains spammeurs de courrier électronique inséreront d’autres fausses lignes "Reçues: de" dans les en-têtes eux-mêmes afin de confondre les destinataires.
Identifier la bonne adresse IP lorsque plusieurs lignes "Received: from" sont impliquées nécessite un petit travail de détective. Si aucune information falsifiée n'a été insérée, l'adresse IP correcte est contenue dans la dernière ligne "Reçu: de" de l'en-tête. C'est une bonne règle simple à suivre lorsque vous consultez des courriers d'amis ou de la famille.
Comprendre les faux en-têtes de courrier électronique
Si des informations d’en-tête simulées ont été insérées par un spammeur, des règles différentes doivent être appliquées pour identifier l’adresse IP de l’expéditeur. L'adresse IP correcte ne sera normalement pas contenue dans la dernière ligne "Reçu: de", car les informations falsifiées par un expéditeur apparaissent toujours au bas de l'en-tête d'un e-mail.
Pour trouver l'adresse correcte, dans ce cas, commencez à la dernière ligne "Received: from" et tracez le chemin emprunté par le message en remontant dans l'en-tête. L'emplacement "par" (expéditeur) répertorié dans chaque en-tête "Received" doit correspondre à l'emplacement "à partir de" (destinataire) indiqué dans l'en-tête "Received" ci-dessous. Ignorez les entrées contenant des noms de domaine ou des adresses IP ne correspondant pas au reste de la chaîne d'en-tête. La dernière ligne "Received: from" contenant des informations valides est celle qui contient la véritable adresse de l'expéditeur.
Notez que de nombreux spammeurs envoient leurs e-mails directement plutôt que via des serveurs de messagerie Internet. Dans ces cas, toutes les lignes d'en-tête "Received: from", à l'exception de la première, seront falsifiées. La première ligne d'en-tête "Received: from" contiendra alors la véritable adresse IP de l'expéditeur dans ce scénario.
Services de messagerie Internet et adresses IP
Enfin, les services de messagerie électroniques populaires sur Internet diffèrent grandement par leur utilisation des adresses IP dans les en-têtes de messagerie. Utilisez ces conseils pour identifier les adresses IP dans de tels courriels.
- Le service Gmail de Google omet les informations d'adresse IP de l'expéditeur dans tous les en-têtes. Au lieu de cela, seule l'adresse IP du serveur de messagerie de Gmail est indiquée dans Received: from. Cela signifie qu'il est impossible de trouver la véritable adresse IP d'un expéditeur dans un compte Gmail reçu.
- Le service Hotmail de Microsoft fournit une ligne d’en-tête étendue appelée "X-Originating-IP" qui contient l’adresse IP réelle de l’expéditeur.
- Emails de Yahoo! contient l'adresse IP de l'expéditeur dans la dernière entrée Received:.
